Das deutsche Bundeskartellamt (BKartA) hatte Meta, damals Facebook, mit Beschluss vom 6. Februar 2019 untersagt, Daten aus Diensten wie WhatsApp und Instagram mit dem Nutzerkonto bei Facebook zu verknüpfen, wenn die Nutzer dazu nicht freiwillig eingewilligt haben. Auch eine Sammlung und Zuordnung von Daten von Drittwebseiten sei nur mit freiwilliger Einwilligung zulässig. In diesem Zusammenhang wurden dem EuGH Fragen vorgelegt, zu denen der Generalanwalt am 20. September 2022 Schlussanträge gestellt hat (Rs. 252/21).
Das BKartA hatte damals im Wesentlichen argumentiert,
- Meta habe auf dem Markt für soziale Netzwerke eine beherrschende Stellung, und
- die Zusammenführung von Daten könne Ausbeutungsmissbrauch darstellen.
- Masstab für einen solchen Missbrauch war dabei nach Lesart des Bundeskartellamts die Einhaltung der DSGVO.
Dazu haben wir berichtet.
Meta hatte den Beschluss des BKartA vor dem Oberlandesgerichts Düsseldorf (OLG Düsseldorf) angefochten, und das OLG hatte bei der Prüfung des Antrags auf Erteilung der aufschiebenden Wirkung der Beschwerde “ernstliche Zweifel an der Rechtmäßigkeit dieser kartellbehördlichen Anordnungen” angemeldet (Beschluss vom 26.08.2019 – Kart 1/19 (V)). Insbesondere sei die erforderliche Kausalität zwischen der fraglichen Datenbearbeitung und der Marktmacht nicht an der DSGVO zu messen, sondern an kartellrechtlichen Grundsätzen:
… Facebook wird nicht nur ein Datenschutzrechtsverstoß, sondern auch ein Kartellrechtsverstoß zur Last gelegt […]. Unerheblich ist – entgegen der Ansicht des Bundeskartellamts – daher, ob (1.) die bei der Registrierung für das soziale Netzwerk von Facebook den Nutzern abverlangte Zustimmung die Anforderungen an eine im Sinne von Artt. 4 Nr. 11, 6 Abs. 1 Satz 1 Buchst. a DSGVO freiwillige Einwilligung in die Verarbeitung personenbezogener Daten erfüllt, […].
Nicht zu folgen ist dem Bundeskartellamt bei seiner Schlussfolgerung, dass der zur Beurteilung stehende Datenschutzverstoß der Facebook von Wettbewerbern ohne marktbeherrschende Stellung “so nicht” begangen werden könne […]. Die Betrachtungsweise greift zu kurz. Für die Verhaltenskausalität kann allein die Frage maßgeblich sein, ob der den Missbrauch vermeintlich implizierende Rechtsverstoß – hier: die in den zustimmungspflichtigen Nutzungsbedingungen vorgesehene Erfassung, Verknüpfung und Verwendung der Mehrdaten – kausal auf Marktbeherrschung zurückzuführen ist. […]
Im weiteren Verfahren hatte das OLG dem EuGH einige Fragen
- im Zusammenhang mit der Kognition der mitgliedstaatlichen Kartellbehörden, aber auch
- den Begriffen der besonderen Kategorien von personenbezogenen Daten i.S.v. Art. 9 Abs. 1 DSGVO und
- des “offensichtliches Öffentlichmachen” nach Art. 9 Abs. 2 lit. e DSGVO und
- dem berechtigten Interesse (Art. 6 Abs. 1 lit. f DSGVO)
vorgelegt.
Der Generalanwalt hält dazu u.a. folgendes fest bzw. vertritt folgende Haltung:
- Das BKartA durfte bei der Prüfung des Missbrauchs einer beherrschenden Stellung die Unvereinbarkeit des Verhaltens mit der DSGVO in Betracht ziehen. Das BKartA dürfte nur nicht anstelle einer datenschutzrechtlichen Behörde einen Verstoss gegen die DSGVO feststellen oder ihn sanktionieren, aber es darf inzident berücksichtigen, ob ein Verstoss gegen die DSGVO vorliegt. Die Wettbewerbsbehörde muss die zuständige Datenschutzbehörde aber informieren, und wenn eine Datenschutzaufsichtsbehörde eine Bestimmung der DSGVO ausgelegt hat, dürfe eine Wettbewerbsbehörde aber grundsätzlich nicht von dieser Auslegung abweichen. Bei Zweifeln solle sie sich mit der zuständigen bzw. der nationalen Aufsichtsbehörde abstimmen.
- Beim Begriff der besonderen Kategorien von Personendaten sei kein Unterschied zu machen zwischen personenbezogenen Daten, die sensibel sind, weil aus ihnen eine bestimmte Situation “hervorgeht”, und solchen, die ihrem Wesen nach sensibel sind (trotz des “etwas obskuren Wortlauts” von Art. 9 Abs. 1 lit. a DSGVO – das ist wohl die Reaktion eines Lesers ausserhalb der Datenschutz-Bubble). In diese Richtung ging schon der EuGH in Rs. C‑184/20.
- Besonders schützenswerte Daten bearbeitet Meta nicht unbedingt schon dann, wenn Angaben über den Aufruf einer heiklen Website erhoben werden. Meta hatte denn auch vertreten, eine solche Bearbeitung liege erst vor, wenn Nutzer nach entsprechenden Kriterien kategorisiert werden:
Dies wäre nur dann der Fall, wenn die Nutzer anhand dieser Daten kategorisiert würden. Daher fielen die Daten, die Gegenstand der streitigen Praxis seien, nur dann unter den Schutz nach Art. 9 Abs. 1 DSGVO, wenn sie sich auf eine der von diesem Schutz erfassten Kategorien bezögen und subjektiv in Kenntnis der Sachlage und in der Absicht verarbeitet würden, daraus diese Informationskategorien abzuleiten.
Das BKartA hatte dagegen die Meinung vertreten, die Tatsache des Aufrufens einer bestimmten Internetseite oder Nutzung einer bestimmten App, deren Hauptgegenstand in einen Bereich nach Art. 9 Abs. 1 DSGVO fällt, sei bereits ein besonders schützenswertes Personendaten. Der GA meint dagegen, für Art. 9 DSGVO sei entscheidend,
ob die verarbeiteten Daten es ermöglichen, [einzeln oder aggregiert] ein Profil des Nutzers im Hinblick auf die Kategorien zu erstellen, die sich aus der in dieser Bestimmung enthaltenen Aufzählung sensibler personenbezogener Daten ergeben.
Demgegenüber sei es nicht erforderlich, dass der Verantwortliche diese Daten mit dem Ziel bearbeitet, besonderer Kategorien von Informationen abzuleiten – es reiche, wenn objektiv die entsprechende Gefahr bestehe.
- Zulässig ist die Verarbeitung besonderer Kategorien von Personendaten u.a. dann, wenn die betroffene Person sie offensichtlich öffentlich gemacht hat (Art. 9 Abs. 2 lit. e DSGVO; Anm.: Eigentlich ist das falsch, dann ist nur das Verbot von Abs. 1 aufgehoben, die Rechtsgrundlage selbst liegt dann in Art. 6 Abs. 1 lit. f DSGVO). Das geschieht laut GA aber jedenfalls nicht schon dadurch, dass ein Nutzer eine Website aufruft oder eine App nutzt. Selbst wenn ein Nutzer via eine Website oder App heikle Personendaten mit Dritten teilt, gibt er sie nur einem definierten Personenkreis und nicht der Allgemeinheit bekannt.
- Keine Einwilligung i.S.v. Art. 9 Abs. 2 lit. a DSGVO liegt sodann in der Zustimmung zu Cookies. Hier willigt der Nutzer in ein Tracking ein, aber nicht die Verarbeitung sensibler Daten.
- Eine Rechtfertigung durch Vertragsnotwendigkeit i.S.v. Art. 6 Abs. 2 lit. b DSGVO kann sodann nicht schon dadurch erreicht werden, dass entsprechende Bestimmungen in AGB aufgenommen werden. Um eine Umgehung der Einwilligung zu verhindern, müsse man hier streng sein. Erforderlich wäre eine objektive Vertragsnotwendigkeit. Eine Personalisierung von Inhalten könne weiter durchaus auch im Interesse der Nutzer liegen, aber nur, soweit sie erforderlich ist und im Rahmen der Nutzererwartungen liegt. Das sei fraglich, wenn auch Daten aus externen Quellen für die Personalisierung verwendet werden.
- Ein berechtigtes Interesse von Meta – ausserhalb der sensiblen Daten – wäre im Einzelfall zu prüfen. Auch hier sei fraglich, ob ein solches Interesse vorliegen kann, wenn Daten aus Drittquellen verwendet werden. Jedenfalls müsste sich die Verarbeitung für das berechtigte Interesse
auf das absolut Notwendige beschränken. Daher muss eine enge Verbindung zwischen der Verarbeitung und dem wahrgenommenen Interesse bestehen, wenn es keine den Schutz personenbezogener Daten weniger beeinträchtigenden Alternativen gibt, weil es nicht ausreicht, dass die Verarbeitung für den für die Verarbeitung Verantwortlichen lediglich von Nutzen ist.
Bei der Personalisierung stelle sich die Frage, ob die Verwendung von Drittquellen wirklich notwendig ist und “welcher ‘Grad der Personalisierung’ der Werbung in dieser Hinsicht objektiv erforderlich ist”. Auch beim Interesse der Netzsicherheit sei fraglich, ob es Drittdaten brauche, und bei der Produktverbesserung sei erst recht fraglich, dass sie ein berechtigtes Interesse darstelle.
- Bei der Freiwilligkeit der Einwilligung schliesslich sei die Marktmacht von Meta zu berücksichtigen – also eigentlich das umgekehrte Vorgehen des BKartA:
… bin ich der Auffassung, dass eine etwaige marktbeherrschende Stellung des für die Verarbeitung personenbezogener Daten Verantwortlichen, der ein soziales Netzwerk betreibt, eine Rolle bei der Beurteilung der Frage spielt, ob eine freiwillige Einwilligung des Nutzers dieses Netzwerks vorliegt. Die Existenz einer Marktmacht des für die Verarbeitung personenbezogener Daten Verantwortlichen kann nämlich zu einem offensichtlichen Ungleichgewicht der Machtverhältnisse in dem in Nr. 74 der vorliegenden Schlussanträge beschriebenen Sinne führen. Es ist jedoch klarzustellen, dass zum einen solche Marktmacht, um für die Anwendung der DSGVO relevant zu sein, nicht notwendigerweise die Schwelle einer beherrschenden Stellung im Sinne von Art. 102 AEUV zu erreichen braucht, und zum anderen, dass dieser Umstand allein einer Einwilligung nicht grundsätzlich jede Gültigkeit entziehen kann.